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(57) Abstract: The invention relates to a method for the initialisation of mobile data supports (IM) on dedicated decentralised 
read/write stations (WR), within the frame of an authorisation system (A). Initialisation data (DI, A-I, I-I) are created in an autho- 
risation process (HA) in a secure environment (g) by means of authorisation means (AM) and sent to a decentralised authorised 
read/write station (A-WR) over a network (N) in a secure communication, according to security rules corresponding to the autho- 
risation system (A). The mobile data support (IM) is initialised with the initialisation data (DI) and/or the initialisation data is sent 
over the network to a decentralised read/write station ( WR), whereupon the read/write station is initialised. The above initialisation 
method permits new application and use possibilities for said systems. 

[Fortsetzung auf der nachsten Seite] 
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der PCT-Gazette verwiesen. 



(57) Zusammenfassung: Mit dem Verfahren werden mobile Datentrager (IM) an zugeordneten dezentraJen Schreib- und Lesesta- 
tionen (WR) im Rahmen eines Autorisierungssystems (A) initialisiert. An einer Autorisierungsinstanz (HA) in einer gesicherten 
Umgebung (g) werden durch Autorisierungsmittel (AM) Initialisierungsdaten (DI, A-I, I-I) erzeugt und uber ein Netzwerk (N) in 
einer gesicherten Kommunikation und mit dem Autorisierungssystem (A) entsprechenden Sicherheitsregeln an eine dezentrale auto- 
risierte Schreib- und Leseslation (A-WR) gesendet, wo die mobilen Datentrager (IM) mit den Initialisierungsdaten (DI) initialisiert 
werden, und/oder wobei die Initialisierungsdaten uber das Netzwerk an eine dezentrale Schreib- und Lesestation (WR) gesendet 
werden, womit die Schreib- und Lesestation initialisiert wird. Dieses Initialisierungsverfahren ermoglicht neue Anwendungs- und 
Nutzungsmoglichkeiten solcher Systeme. 
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VERFAHREN ZUR INITIALISIERUNG VON 
MOBILEN D ATENTRAGERN 



Die Erfindung betrifft ein Verfahren zur Initialisierang von mobilen Datentragern 
mit zugeordneten dezentralen Schreib- und Lesestationen im Rahmen eines 
Autorisierungssystems gemass Oberbegriff von Patentanspruch 1. Mobile 
Datentrager (z.B. kontaktlose oder kontaktbehaftete Identifikationsmedien, 
5 Chipkarten oder Wertkarten usw.) ermoglichen dem Benutzer an zugeordneten 
Schreib- und Lesestationen die Ausiibung von entsprechenden Applikationen wie 
den Zugriff auf Dienstleistungen (PC-Zugang) und Waren (Getrankeautomat, 
Restaurant) bzw. den Zugang zu geschiitzten Bereichen, Gebauden, Sportstadien 
usw, Um diese Zugriffe bzw. die Ausiibung von Applikationen zu ermoglichen ist 
10 die Initialisierung der Datentrager und der zugeordneten Schreib- und Lesestationen 
im Rahmen eines Autorisierungssystems mit entsprechenden 
Initialisierungsinformationen notwendig. 

Diese Initialisierung kann sich auf anwendungsspezifische Daten (z.B, Aufbuchen. 
eines Geldwerts auf den Datentrager) und auf systemspezifische Daten (z.B. 
15 Nummer des Kartenherausgebers, Datenorganisation bei Multi- Applikationen, 
Zugriffsregeln auf Datentrager etc.) beziehen. Diese Initialisierungsdaten bzw. 
Applikationen konnen auch nach und nach, stufenweise und zu unterschiedlichen 
Zeitpunkten initialisiert und auch geandert werden. 
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Diese Initialisierung ist ein sicherheitskritischer und sehr "aufwandiger Prozess, der 
auch ortlich stark eingeschrankt ist und nur an Orten in gesicherter Umgebung 
stattfinden kann. Ein Beispiel dazu ist in der WO 97/34265 beschrieben. Diese 
beschreibt ein System mit beriihrungslosen passiven elektronischen Datentragern als 
5 Identifikationsmedien IM mit zugeordneten Schreib- und Lesestationen WR im 
Rahmen eines Autorisierungssystems A, wobei die Datentrager mehrere unabhangige 
Applikationen enthaiten konnen. Hier muss jedes Identifikationsmedium und jede 
Anwendung gemass den Regeln des hierarchischen Autorisierungssystem initiaiisiert 
werden. Fiir diese Initialisierung der Datentrager werden spezielle Programmier- 
10 Schreib- und Lesestationen sowie spezielle Autorisierungsmedien in gesicherter 
Umgebung benotigt und alle dezentralen Schreib- und Lesestationen konnen 
ebenfails mit einem speziellen Autorisierungsmittel getauft bzw. initiaiisiert werden, 
um ihre Funktionen aufnehmen zu konnen. 



Eine dezentrale Initialisierung von Datentragern IM an diesen dezentralen Schreib- 
15 und Lesestationen meist in ungesicherter Umgebung ist hier nicht moglich. Die 
Initialisierung ist deshaib sehr aufwandig und eingeschrankt und die Initialisierung 
und Verwaltung der Autorisierungsmedien ist ebenfails sicherheitskritisch und 
aufwandig. 



Diese bekannten zentralen Initialisierungen eines jeden einzelnen Datentragers mit 
20 speziellen Autorisierungsmitteln in gesicherter Umgebung ist deshaib sehr. 
aufwandig, wenig flexibei und sehr eingeschrankt. Es konnen damit nicht dezentral 
in ungesicherter Umgebung neue Anwendungen und neue Datentrager initiaiisiert 
und in Gebrauch genommen werden. 
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Wenn beispielsweise ein Bergrestaurant in einem Skigebiet; in dem fur verschiedene 
Applikationen beriihrungslose Identifikationsmedien als Skikarten ausgegeben sind, 
fur seine Applikation und fur seine Kunden eine Anwendungserweiterung, 
beispielsweise eine Loyality-Anwendung, in seiner Applikation hinzufiigen mochte, 
5 , so muss dazu jeder einzelne Datentrager, d.h. jede Skikarte, mit einem 
Initialisierungsgerat in einer gesicherten Umgebung und mit einem entsprechenden 
Initialisierungsmedium initialisiert werden, d.h. nicht im Bergrestaurant sondern im 
Tai unten an der Zentrale in diesem Skigebiet, Diese Vorgehensweise ist hier 
naturlich nicht praktikabel. 

10 Eine ganz andere Art von Dateniibertragung iiber ein Netz ist bei Kontaktkarten- 
Systemen bekannt, wo die ganze Organisation und alle Autorisierungen von einer 
einzigen Systemzentrale ausgehen miissen. So ist aus der DE 197 20 431 z.B. ein 
Verfahren zur elektronischen Personalisierung und Initialisierung von Chipkarten 
von einem zentralen Chipkarten- Administrationssystem aus bekannt. Diese 

15 Initialisierungen erfolgen iiber einen Kommunikationskanai an ein Chipkarten- 
Kontrollsystem bzw. Lesegerat, welches die Chipkarte physikalisch kontaktiert und 
die Daten direkt an die Chipkarte weiterleitet. Auch mit solchen Systemen ist die 
nachstehende Aufgabe nicht losbar. 

Es ist daher Aufgabe der vorliegenden Erfindung, ein Verfahren bzw. ein System zu 
20 schaffen, welches diese bisherigen Beschrankungen beziiglich der Initialisierung von 
Datentragern und dezentralen Schreib- und Lesestationen, der Erweiterung von 
Applikationen und der Ausgabe von neuen Datentragern uberwindet, welches eine 
wesentlich einfachere, vielseitigere und sichere Initialisierungsmethode bildet und 
damit auch neue Einsatzmoglichkeiten schafft, und welches insbesondere auch die 
25 Anwendung von beriihrungslosen Datentragern ermoglicht. 
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Diese Auf gabe wird erfindungsgemass gelost durch ein Verfahren zur Initialisierung 
von mobilen Datentragern gemass Patentanspruch 1 und eine Anlage nach 
Patentanspruch 28. Durch die Initialisierung iiber ein Netz mit gesicherter 
Kommunikation und mit Autorisierungen durch Autorisierungsmittel an entfernten 
5 Autorisierungsinstanzen in gesicherter Umgebung werden die erwahnten weiteren 
Anwendungs- und Nutzungsmoglichkeiten solcher Systeme mit mobilen 
Datentragern und dezentralen Schreib- und Lesestationen ganz entscheidend 
erweitert. 

Die abhangigen Patentanspriiche betreffen Weiterentwicklungen der Erfindung mit 
10 Erweiterung der Moglichkeiten in ortlicher Hinsicht, beziiglich Applikationen und 
Einfiihrung neuer Datentrager und beziiglich neuer Arten von Nutzung, Einsatz und 
Anwendung. Entscheidend ist, dass damit im Prinzip auch alle dezentralen Schreib- 
und Lesestationen in ungeschiitzter Umgebung fiir Initialisierungen einsetzbar sind, 
indem die Sicherheit durch die gesicherte Kommunikation iiber das Netz und durch 
15 die Anbindung an die entfernte Autorisierungsinstanz mit Autorisierungsmitteln in 
geschiitzter Umgebung gewahrleistet wird. Dies ermoglicht auch ganz neue 
Anwendungsarten, beispielsweise eine Erfassung und Kontrolle von 
Lizenzzahlungen iiber dezentrale Schreib- und Lesestationen, die zusatzliche 
Abfrage personlicher Daten vom Inhaber des Datentragers oder des Inhabers der 
20 Schreib- und Lesestation kann die Sicherheit dezentraler Autorisierungen weiter 
erhohen. 

Im folgenden wird die Erfindung anhand von Figuren und Beispielen weiter 
erlautert. Es zeigen: 



-5- 



PCT/CHOl/00433 



ein Schema eines erfindungsgemassen Verfahrens zur 
Initialisierung von Datentragern uber ein privates Netzwerk, 

ein Verfahren zur Initialisierung von Datentragern iiber ein of fenes 
Netzwerk, 

das erfindungsgemasse Verfahren zur Initialisierung von 
Datentragern und von dezentralen Schreib- und Lesestationen iiber 
ein Netzwerk durch Autorisierung an einer Autorisierungsinstanz 
mit Autorisierungsmitteln, 

die Initialisierung eines mobilen Datentragers mit Autorisierungs- 
und Initialisierungsinformationen, 

eine Initialisierung einer dezentralen Schreib- und Lesestation mit 
Autorisierungs- und Initialisierungsinformationen, 

die Initialisierung einer Autorisierungsfunktion an einer, 
dezentralen Schreib- und Lesestation, 

Initialisierungen von Applikationen iiber Netzwerke durch mehrere 
Autorisierungsinstanzen, 

Initialisierungen durch mehrere Autorisierungsinstanzen uber ein 
Netzwerk, 

Initialisierungen durch mehrere Autorisierungsinstanzen iiber 
mehrere Netzstufen, 
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Fig. 10 Initialisierungen durch mehrere Autorisierungsinstanzen fiber 

mehrere Netzstufen mit mehreren Autorisierungsstufen, 

Fig. 11 schematisch die Organisation in einem Autorisierungssystem mit 

5 mehreren Autorisierungs- bzw. Organisationsstufen, mehreren 

Autorisierungsinstanzen auf verschiedenen Autorisierungsstufen 
und mit mehreren unabhangigen Anwendern, 

Fig. 12 die Initialisierung von Applikationen in einem neuen Datentrager, 

10 

Fig. 13 die Initialisierung von zusatzlichen Applikationen in einem Daten- 

trager, 

Fig. 14 Autorisierungen zur Initialisierung von Datentragern fiber ein 

15 Netzwerk. 



Die Fig. 1-3 iiiustrieren das erfindungsgemasse Verfahren zur Initialisierung von 
mobilen Datentragern IM an zugeordneten dezentralen Schreib- und Lesestationen 
WR im Rahmen eines Autorisierungssystems A, das ffir das ganze System von 
20 Schreib- und Lesestationen, Datentragern, Autorisierungsinstanzen und Autori- 
sierungsmitteln giiltige hierarchische Regeln festlegt, wie dies beispielsweise an 
einem System mit berfihrungslosen Identifikationsmedien in der WO 97/34265 
beschrieben ist. Dieses bekannte System dient jedoch nur als ein mogliches 
Anwendungsbeispiel der Erf indung. 

25 Das erfindungsgemasse Verfahren wird in Fig. 3 illustriert: Die Initialisierung von 
mobilen Datentragern IM mit zugeordneten dezentralen Schreib- und Lesestationen 
A-WR und/oder von dezentralen Schreib- und Lesestationen WR erfolgt im Rahmen 
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eines fur alle Systemelemente giiltigen hierarchischen ' Autorisierungssystem A 
durch eine Autorisierung mit Autorisierungsmittein AM an einer 
Autorisierungsinstanz HA in einer gesicherten Umgebung g, wo Initialisierungsdaten 
DI = A-I, H erzeugt und iiber ein Netzwerk N in einer gesicherten Kommunikation 
5 und mit dem Autorisierungssystem entsprechenden Sicherheitsregeln an eine 
dezentrale autorisierte Schreib- und Lesestation A-WR oder an ejne dezentrale 
Schreib- und Lesestation WR gesendet werden. Die Initialisierungsdaten DI 
enthaiten dabei Autorisierungsinformationen A-I, die von den Autorisierungsmittein 
AM in die Autorisierungsinstanz eingegeben werden und 
10 Initialisierungsinformationen M, die auch in die Autorisierungsinstanz HA 
eingegeben oder aus dieser abgerufen werden. 

An der dezentralen Schreib- und Lesestation A-WR werden die mobilen Datentrager 
IM mit den Initialisierungsdaten DI entsprechend. initiaiisiert und damit in 
15 initialisierte Datentrager IMj ubergefiihrt, 

oder mit den Initialisierungsdaten DI wird die dezentrale Schreib- und Lesestation 
WR initiaiisiert und in eine initialisierte Schreib- und Lesestation iibergefiihrt: WRk. 

20 Die Fig. 1 und 2 illustrierten die gesicherte Kommunikation iiber ein Netzwerk N bis 
zu den dezentralen Schreib- und Lesestationen A-WR in ungesicherter Umgebung u. 

Im Beispiel von Fig. 1 erfolgt dabei die Initialisierung uber ein gesichertes privates 
Netzwerk Np, womit die gesicherte Umgebung bis an die Schreib- und Lesestationen 
gewahrleistet wird. 



WO 02/05225 



-8- 



PCT/CH01/00433 



Fig. 2 zeigt ein Beispiel der erfindungsgemassen Initialisierang iiber ein offenes Netz 
No mit einer Verschliisselung und beidseitigen Sicherheitspforten Gl und G2, um 
die notwendige gesicherte Kommunikation iiber das offene Netz zu gewahrleisten. 

Durch die gesicherte Verbindung iiber das Netzwerk N werden die dezentralen 
5 Schreib- und Lesestationen WR bzw. A-WR, die sich normalerweise in 
ungesicherter Umgebung u befinden, in die gesicherte Umgebung der 
Autorisierungsinstanz HA eingebunden fur die Initialisierungen und damit findet die 
Initiaiisierung in gesicherter Umgebung g statt. Nachdem die Initialisierung 
ausgefuhrt ist, kann die Ausfiihrung von Applikationen mit den 
10 Identifikationsmedien IM an den Schreib- und Lesestationen WR wieder wie bisher 
in ungesicherter Umgebung stattfinden. Die gesicherte Umgebung g iiber das Netz 
muss also nur temporar fiir die Initialisierung hergestellt werden. 

Mit den Fig. 4-6 werden verschiedene Initialisierungsvorgange genauer dargestellt. 
In Fig. 4 werden zuerst mogliche Ausfiihrung von Autorisierungsinstanzen HA und 
15 Autorisierungsmitteln AM illustriert. 

Im Unterschied zu bekannten Kontaktkartensystemen, z.B. gemass DE 197 20 431 
mit einer einzigen zentralen Autorisierungs- und Organisationsstelle 
(Systemzentrale), von der aus alle Initialisierungen ausgefuhrt und verwaltet werden 
miissen, ist im erfindungsgemassen System keine solche Zentrale des 
20 Autorisierungssystems A notwendig. Das Autorisierungssystem A wird vielmehr 
durch die Einhaltung von hierarchischen Autorisierungsregeln bestimmt, wobei diese 
Autorisierungsregeln in verschiedenen ortlich verteilten Autorisierungsinstanzen 
HAi z.B. auf einem Chip oder als Programm implantiert und gespeichert sind. Diese 
Autorisierungsregeln bzw. die Autorisierungsmittel AM bilden im Prinzip eine 
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ortlich verteilte "virtuelle Autorisierungssystem-Zentrale" A. Die Zugehorigkeit zum 
System A fur alle Schreib- und Lesestationen und alle Identifikationsmedien wird 
durch eine System-Grundvorbereitung oder Grundinitiaiisierung sichergestellt. 

Zur Initiaiisierung einer neuen Applikation Appi mit den Initiaiisierungs- 
5 informationen I-i(Appi) ist eine der Organisationsstufe entsprechende Autorisierung 
mit den Autorisierungsinformationen A-I erforderlich. Mit den 
Autorisierungsmitteln AM werden diese dem Autorisierungssystem A 
entsprechenden Autorisierungsinformationen A-I an die Autorisierungsinstanz HA 
iibermitteit. 

10 Die Autorisierungsinstanzen HA konnen dabei gemass Fig. 4 z.B. aus einem 
Hostcomputer H mit den entsprechenden Autorisierungsregein des Systems A oder 
auch aus einer entfernten Autorisierungs- Schreib- und Lesestation R-A-WR 
bestehen. Die Autorisierungsmittel AM konnen beispielsweise bestehen aus einem 
Autorisierungs-Identifikationsmedium AM-IM, das die Autorisierungsinformationen 

15 A-I enthalt oder aus Autorisierungsdaten AM-I, die z.B. als Software (Programm) in 
einem Host H abgerufen bzw. ausgefiihrt werden kann. Bei einem physikalischen 
Autorisierungsmedium AM-IM erfoigt die den Sicherheitsanforderungen 
entsprechende Handhabung durch den Trager (Inhaber) des Autorisierungsmediums. 
Im Falle von Softwareprogrammen AM-I in einem Host H wird die Sicherheit 

20 gewahrleistet durch eine Identifikation des Beniitzers, z.B. mittels PIN Code oder 
biometrischen Daten oder durch ein zugeordnetes spezielles Identifikationsmedium 
(ID-AM). 

In Fig. 4 ist die Initiaiisierung eines Datentragers IM dargestellt. Dabei bezieht sich 
die Autorisierungsinformation A-I(j) auf die Autorisierung fiir die Initiaiisierung j 
25 eines Datentragers IM. Die Initialisierungsinformationen M(Appi) fur eine neue 
Applikation Appi werden in die Autorisierungsinstanz HA eingegeben, erzeugt oder 
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abgerufen und wie beschrieben fiber das Netz und die' dezentralen autorisierten 
Schreib- und Lesestation A-WR im Datentrager IM initialisiert: IMJ (mit Appi). 

Fig. 5 zeigt die Initialisierung k einer Schreib- und Lesestation WR. Die 
Autorisierungsinformationen A-I(k) werden vom Autorisierungsmittel AM der 
5 Autorisierungsinstanz HA eingegeben, erzeugt oder abgerufen. Die 
InitiaUsierungsinformation I-I(k) wird ebenfalls in die Autorisierungsinstanz 
eingegeben. Zur Initialisierung der Schreib- und Lesestation WR, d.h. zur 
Uberfuhrung in eine WRk fiber ein Netzwerk wird zuerst die 
Autorisierungsinformation A-I(k) von der Autorisierungsinstanz HA auf die Schreib- 

10 und Lesestation WR ubertragen, worauf anschliessend die Ubertragung der 
Initialisierungsinformation I-I(k) erfolgt. In Analogie zur Initialisierung von neuen 
Applikationen auf einem Datentrager kann auch eine Initialisierung der Schreib- und 
Lesestation WR durch entsprechende Initialisierungsdaten I-I(k) erfolgen, mit denen 
beispielsweise zusatzliche Funktionen in der Schreib- und Lesestation eingefuhrt 

15 werden konnen. 

Fig. 6 zeigt die Uberfuhrung bzw. Initialisierung einer dezentralen Schreib- und 
Lesestation WR in eine autorisierte Schreib- und Lesestation A-WR, urn damit 

20 Initialisierungen von mobilen Datentragem IM ausffihren zu konnen. Dazu muss die 
Schreib- und Lesestation WR zuerst mit der Autorisierungsfunktion FA initialisiert 
werden. Zuerst muss die Autorisierungsinformation A-I-FA von einem Autori- 
sierungsmittel AM in die Autorisierungsinstanz HA eingegeben werden, worauf die 
Initialisierung bzw. die Uberfuhrung der dezentralen Schreib- und Lesestation WR in 

25 eine autorisierte Schreib- und Lesestation A-WR mit Autorisierungsfunktion FA 
ausgeffihrt wird. Anschliessend kann die Initialisierung von Applikationen wie 
bisher (Fig. 4) durch die Autorisierungsinformation A-I(j) fur eine bestimmte 
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Applikation Appi und die entsprechende Initialisierungsinformation I-I(Appi) iiber 
das Netzwerk und die dezentrale autorisierte Schreib- und Lesestation A-WR im 
mobilen Datentrager IM vorgenommen werden: IMj mit I-I(Appi). 

Diese Autorisierungsfunktion FA muss nicht permanent aktiviert sein, sie kann auch 
5 wieder geloscht werden, bzw. mit der Netzverbindung unterbrochen Oder nach einer 
bestimmten Zeit oder einer bestimmten Anzahl von Initialisierungen geloscht 
werden, wodurch die autorisierte Schreib- und Lesestation A-WR wieder in eine 
gewohnliche dezentrale Schreib- und Lesestation WR zurfickgeffihrt wird. 

In den Fig. 4-6 sind weitere mogliche Funktionen dargestellt, die fiber das 
10 Netzwerk N initialisiert bzw. ausgeffihrt werden konnen. 

Statusinformationen S-I iiber Ereignisse an den autorisierten bzw. an den dezentralen 
Schreib- und Lesestationen A-WR, WR und/oder an den mobilen Datentragern IM 
konnen fiber das Netzwerk an entsprechende Autorisierungsinstanzen gemeldet und 
dort beispielsweise fur Nutzungs- und Lizenzverrechnungen eingesetzt werden. 
15 Beispiele dazu werden spater erlautert. 

Als weitere Option ist es moglich, als Autorisierung eines rechtmassigen Benutzers 
fur eine Initialisierung mit einem Identifikations-Autorisierungsmittel ID-AM dessen 
Identifikation ID-I zu uberprufen (Fig. 4, 5, 14). 

Ganz wesentlich ist die gesicherte Kommunikation der Initialisierungsdaten DI fiber 
20 das Netzwerk, so dass die Sicherheit des gesamten Systems mit den mobilen 
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Datentragem nicht durch die Daten-Ubertragung iiber das Netzwerk beeintrachtigt 
wird. 

Bei einer Kommunikation iiber private Netzwerke Np, z.B. iiber Firmennetzwerke, 
ist diese gewiinschte Sicherheit gegeben. 

5 Bei Ubertragung der Initialisierungsdaten iiber offentliche Netze No muss dafiir eine 
gesicherte Kommunikation mit an sich bekannten Mitteln (Verschliisselung und 
weiteren Sicherheitsfaktoren), gewahrieistet werden. Dies gilt auch fur eine 
Kommunikation iiber eine Kombination von offenen und privaten Netzwerken. 
Damit konnen im Prinzip beliebige Netze zur Ubertragung der Initialisierungsdaten 

10 verwendet werden (wie LAN, WAN, Internet, Intranet und Extranet etc.). 

Die erfindungsgemasse Initialisierung kann auch iiber ein virtuelles privates 
Netzwerk erfolgen, d.h. ein privates Datennetzwerk, das offentliche 
Telecommunikationsnetze beniitzt, z.B. als Firmennetzwerk, wobei 
Verschliisselungs- und Tunneling-Mechanismen sicherstellen, dass nur autorisierte 

15 Anwender Zugang erhalten, z.B. iiber das Internet IP (Intemetprotokoll), VPM 
(Virtual Private Networks). 

Wesentlich ist, dass der Sicherheitsgrad dieser Kommunikation der Wichtigkeit der 
Initialisierung bzw. der Initialisierungsdaten entsprechend gewahrieistet wird. 
Dies sowohl beziiglich der Kommunikation iiber das Netz, im Prinzip die aussere 
20 Sicherheit beziiglich dem Netz, wie auch beziiglich der inneren Sicherheit im 
Autorisierungssystem A, welches verschiedene hierarchische Stufen OLi 
entsprechend der hierarchischen Definition und der Wichtigkeit der Anwendungen 
unterscheidet. Insgesamt muss eine der Wichtigkeit der Applikationen bzw. der 
Initialisierungen entsprechende Sicherheit sowohl als aussere wie auch als innere 
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Sicherheit gewahrt werden. Wobei naturlich die aussere Sicherheit beziiglich dem 
Netz nicht kleiner sein sollte ais die gewiinschte innere Sicherheit. 
Unterschiedliche Wichtigkeits- bzw. Autorisierungsstufen konnen beispielsweise 
sein: 

5 Das Laden einer zusatzlichen Appiikation wie eine Treuepramie auf einer Kunden- 
karte eines Supermarkts erfordert nur eine reiatjv geringe Sicherheitsstufe, da der 
potentielle Schaden durch unautorisierte Handlungen gering ist Anderseits erfordert 
z.B. die Zugangsberechtigung fur Nutzungsstufen hochster Geheimhaltung in einem 
EDV-Datensystem oder die Initialisierung ganz neuer Datentrager und vor allem das 
10 Aufbuchen von Geldbetragen eine hohe Sicherheitsstufe. 

Fig. 7 iliustriert nun ein Beispiei mit mehreren Autorisierungsinstanzen HAl f HA2, 
HA3 mit je den entsprechenden Autorisierungsmitteln AMI, AM2, AM3 im Rahmen 
des Autorisierungssystems A, welche ihre eigenen unabhangigen Applikationen 

15 Appl, App2, App3 mit ihren Initiaiisierungsdaten DI1, DI2, DI3 iiber Netzwerke 
Nl, N2, N3 an entsprechende zugeordnete autorisierte Schreib- und Lesestationen A- 
WR senden, bei denen die mobilen Datentrager IM entsprechend initialisiert werden. 
Dabei konnen die Netzwerke unterschiedlich sein, z.B. Nl ein offenes Netz und N2 
ein privates Netz, oder es konnen auch zwei oder mehr Autorisierungsinstanzen das 

20 selbe Netzwerk, jedoch mit ihren eigenen Sicherheitsregeln, verwenden. Naturlich 
miissen die Schreib- und Lesestationen der Autorisierungsinstanz entsprechen, d.h. 
in diesem Beispiei ist die Lesestation A-WR2 nur der Autorisierungsinstanz HA3 
zuganglich, d.h. dieser zugeordnet mit entsprechenden Applikationen App3 f wahrend 
die Schreib- und Lesestation A-WR1 in diesem Beispiei alien drei 

25 Autorisierungsinstanzen HA1, HA2, HA3 mit ihren entsprechenden Applikationen 
Appl, App2, App3 zugeordnet und zuganglich ist. Analoges gilt fur die Zuordnung 
der mobilen Datentrager IM, die auch einer oder mehreren Autorisierungsinstanzen 
mit entsprechender Moglichkeit zur Initialisierung von deren Applikationen 
zugeordnet sind. 
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Die Fig. 8-11 illustrieren weitere Beispieie von Initialisierungen uber mehrere 
Netzwerke bzw. uber mehrere Netzstufen (auch im gleichen Netz) mit mehreren 
Autorisierungsinstanzen HA und Autorisierungsmitteln AM sowie mit mehreren 
bzw. verschiedenen Autorisierungsstufen OLi. 

5 Fig. 8 zeigt ein Beispiel mit mehreren Autorisierungsinstanzen HA1, HA2 mit 
Autorisierungsmitteln AMI, AM2 und mit verschiedenen Applikationen Appl, 
App2. Die entsprechenden Initialisierungsdaten DI1, DI2 werden uber das gleiche 
Netzwerk in einer Stufe an die.dezentralen autorisierten Schreib- und Lesestationen 
A-WR iibermittelt zur Initialisierung von beiden Applikationen Appl, App2 in den 
10 Datentragern IMj. Dies kann unabhangig von der Autorisierungsstufe OLi (auch fur 
verschiedene OLi der Autorisierungsinstanzen HAi, der Autorisierungsmittel AMi, 
der Applikationen Appi ) erfolgen. 

Fig. 9 zeigt analog zu Fig. 8 mehrere Autorisierungsinstanzen HA und 
Autorisierungsmittel AM fur Applikationen Appi, wobei jedoch die Initialisierung 

15 uber mehrere Netzstufen Nl, N2 auf die autorisierten Schreib- und Lesestationen A- 
WR erfolgt. Die Netzstufen Nl und N2 konnen im gleichen oder auch in 
verschiedenen Netzen gebildet werden. Die Applikation Appl mit Ml der 
Autorisierungsinstanz HAI geht hier uber die Netzstufe Nl in die Autorisierungs- 
instanz HA2 und unverandert weiter uber die Netzstufe N2 in die autorisierte 

20 Schreib- und Lesestation. Die Applikation App2 an der Autorisierungsinstanz HA2 
wird nur uber die Netzstufe N2 geleitet. Auch dies ist unabhangig von der 
Autorisierungsstufe OLi. 

Fig. 10 zeigt ein weiteres Beispiel ahnlich Fig. 9 mit mehreren Autorisierungs- 
instanzen, Applikationen und Netzstufen, wobei hier zwei Applikationen auf unter- 
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schiedlicher Autorisierungsstufe dargestellt sind, wie z.B. die Applikation Appl auf 
OLn und die Applikation App2 auf OLn+1. Dieses Beispiel zeigt an der Applikation 
Appl der Autorisierungsinstanz HA1, dass diese in der Autorisierungsinstanz HA2 
auch erganzt werden kann in I-I1+, so dass die entsprechende Applikation im 
5 Datentrager IMj dieser Applikation Appl+ entspricht. 



In Analogie zu dieser Veranderung oder Erganzung einer Applikation in der 
Autorisierungsinstanz kanh auch in einer Schreib- und Lesestation z.B. nach Fig. 4 
in der autorisierten Schreib- und Lesestation A-WR eine Initialisierungsinformation 
verandert oder erganzt werden in I-I+. 



10 Fig. 11 zeigt schematisch die Organisation in einem Autorisierungssystem A mit 
mehreren Autorisierungs- bzw. Organisationsstufen z.B. OLi = OL0 bis OL5, mit 
mehreren Autorisierungsinstanzen HA auf verschiedenen Autorisierungsstufen und 
mit mehreren unabhangigen Anwendern HA1, HA2, HA3 mit den unabhangigen 
Applikationen Appl, App2, App3. Die oberste Organisationsstufe OL0 entspricht 

15 der Stufe auf welcher eine Grundinitialisierung aller Schreib- und Lesestationen und 
aller Datentrager IM (z.B. uber das Systemdatenfeld CDF) im Sinne einer 
Zugehorigkeit zum Autorisierungssystem A durch verschiedene 
Autorisierungsinstanzen HAiO oder diesen zugeordnete Autorisierungsinstanzen 
HAiO.l erfolgt. Die Autorisierungsregeln des Systems sichern die Unabhangigkeit 

20 und gegenseitige Nicht-Beeinflussbarkeit der unabhangigen Anwendungen Appl, 
App2, App3 der entsprechenden unabhangigen Anwender auf Organisationsstufe 
OLI. Ab der nachsten Autorisierungsstufe OL2 bis OL5 z.B. kann ein unabhangiger 
Anwender seine Applikationen im Rahmen des Autorisierungssystems A mit einem 
sekundaren Unterautorisierungssystem AS seiber organisieren und festlegen.. Auch 

25 auf diesen Stufen ab OL2 konnen Autorisierungsinstanzen HA mit den 
entsprechenden Autorisierungsmitteln AM gebildet werden und zwischen den 
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verschiedenen, ortlich verteilten Autorisierungsinstanzen HA konnen entsprechende 
Netzverbindungen und Initialisierungen uber Netzstufen realisiert werden, gemass 
den erlauterten Regeln. 

Mit dem Autorisierungssystem A wird dabei gesichert, dass die Applikationen der 
5 verschiedenen Autorisierungsinstanzen unabhangig voneinander und gegenseitig 
nicht beeinflussbar sind. Ein Beispiel mit mehreren unabhangigen Applikationen in 
einem Datentrager wird in Fig. 13 weiter illustriert. Dabei sind vor allem auch 
beriihrungslose und passive Identifikationsmedien bzw. Datentrager einsetzbar, die 
auch auf Distanz mit einer Schreib- und Lesestation kommunizieren konnen, z.B. an 
10 Eintrittspforten. 

Es konnen erfindungsgemass verschiedene Arten von Initialisierungen uber 
Netzwerke durchgefuhrt werden mit unterschiedlichen hierarchischen Stufen im 
Autorisierungssystem A und entsprechend unterschiedlicher Sicherheitsanforderung. 
Fig. 12 zeigt dazu ein Beispiel hoher hierarchischer Stufe und Sicherheits- 

15 anforderung, bei dem ein systementsprechend vorbereiteter leerer mobiler 
Datentrager neu mit Applikationen initialisiert wird. Dieser Datentrager IM ist dabei 
durch Systemdaten des Autorisierungssystems A in einem Systemdatenfeld CDF 
vorbereitet, welcher die Zugehorigkeit zum System A festlegt und sicherstellt, der 
jedoch noch keine Applikationen in einem dafiir vorbereiteten Applikationsdatenfeld 

20 ADF enthalt. Die Neuinitialisierung DI mit den Initialisierungsinformationen I-I von 
Applikationen App in diesem Applikationsdatenfeld ADF stellt eine erste obere 
Initialisierungsstufe dar. 
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Fig. 13 illustriert die Initialisierung von zusatzlichen neuen Applikationen, hier z.B. 
der Applikation App3, mit Initialisierungsdaten DI3 einer Autorisierungsinstanz 
HA3. 

5 Als weiteres Beispiel zeigt Fig. 13 die Initialisierung einer Applikationserweiterung 
App_22 einer Autorisierungsinstanz HA2 zusatzlich zur bestehenden Applikation 
App2 mittels entsprechender Initialisierungsdaten DI2.2. Dies wird am folgenden 
Beispiel Bergrestaurant fur den Datentrager von Fig. 13 illustriert mit einer Daten- 
organisation in einem Datentrager IM mit mehreren unabhangigen Applikationen 

10 Appl,. App2, App3 und mit einem dem Autorisierungssystem A entsprechenden 
festen Datenteil CDF. Die Applikation Appl seien z.B. Skilifte, die Applikation 
App2 das Bergrestaurant, das eine zusatzliche Erweiterung seiner Applikation 
App2.2 einfiihren mochte und das diese mit einer entsprechenden Initialisierung 
DI2.2 fiber das Netz direkt an Ort, im Bergrestaurant iiber seine Schreib- und 

15 Lesestation A-WR auf eine schon bestehende Skikarte bzw. Datentrager IM eines 
Gastes einschreiben kann - ohne dass dieser dazu ins Tai an eine autorisierte Schreib- 
und Lesestation (des Herausgebers der Skikarte als Applikation Appl) mit 
Autorisierungsmedium fahren muss, wie dies bisher notwendig war. 

Als weiteres Beispiel konnte derselbe Gast mit seiner Skikarte am Abend im Tal 
20 unten eine weitere unabhangige Applikation App3, z.B. Zutritt zu Sportanlagen, neu 
initialisieren lassen mit Initialisierungsdaten DI3 der Autorisierungsinstanz HA3, 
wenn diese auf seinem Datentrager noch nicht eingerichtet ist. 

Fig. 12 zeigt als weitere Ausfuhrungsvariante einen mobilen Datentrager, der einen 
Applikationsmicroprozessor AppuP aufweist, welcher Applikationsprogramm-Daten 
25 I-I-Cod enthalt. Mit solchen Datentragern mit integrierter Intelligenz konnen 
kombinierte Applikationen realisiert werden, welche teilweise in der Schreib- und 
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Lesestation WR und teilweise im Datentrager IM enthaiten sind und sie erlauben die 
Handhabung von Nutzerautorisierungen ai (Fig. 14). 

Die erfindungsgemasse Initialisierung fiber ein passendes gesichertes Netz kann ganz 
neue Anwendungen und Business-Modelle ermoglichen, z.B. initialisierungs- 
5 gebundene Businessmodelle durch Verwendung von Status-Informationen S-I, z.B.: 

1. Lizenzverrechnung fur neu initialisierte Datentrager und neu initiaiisierte 
Applikationen: Bei jeder Initialisierung eines neuen Datentragers oder einer neuen 
Applikation in einem Datentrager IM wird uber das Netz bei der Autorisierungs- 
instanz HA eine entsprechende vereinbarte Lizenzgebuhr verrechnet. 

10 2. Lizenzverrechnung fur jede Nutzung: Wenn eine Applikation von einem 
Datentrager an einer Schreib- und Lesestation genutzt wird, so kann fur diese 
Nutzung von der Autorisierungsinstanz HA (z.B. einem Host H) eine Lizenzgebuhr 
erhoben werden. 

Dies kann entweder laufend abgerechnet werden, falls die Schreib- und Lesestation 
15 WR online uber das Netz mit der Autorisierungsinstanz HA verbunden bleibt, oder 
die Verbindung uber das Netz kann periodisch erfolgen. Dann konnen die 
Nutzungsdaten S-I in der Schreib- und Lesestation WR gespeichert und periodisch 
mit der Autorisierungsinstanz HA ausgetauscht und abgerechnet werden. 

Die erfindungsgemasse Initialisierung fiber das Netz und die damit verbundene 
20 Kommunikation kann also je nach Anwendung sowohl mit einer dauernden 
Netzverbindung oder auch nur periodisch erfolgen. Dabei konnten beispielsweise 
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zeitlich begrenzte Applikationen durch entsprechende periodische Initialisierungen 
immer wieder emeuert werden (z.B. monatlich). 

Fig. 14 illustriert verschiedene Varianten moglicher Initialisierungen iiber ein 
Netzwerk, wobei die Initialisierungen auch eine Initialisierungskommunikation, bzw. 
5 eine Nutzungskommunikation und / oder eine Identifikationskommunikation 
zwischen Autorisierungsinstanz HA, autorisierter Schreib- und Lesestation A-WR 
und Identifikationsmedium bzw. Datentrager IM enthalten. Eine Initialisierung kann 
yon der Autorisierungsinstanz HA ausgehen oder sie kann auch von der Schreib- und 
Lesestation A-WR oder vom Inhaber des Datentragers IM angefordert werden. Dazu 

10 ist je nach Art der neuen Initialisierung bzw. der Applikation auch eine 
Nutzerautorisierung, d.h. das Einverstandnis des Inhabers 12 der Schreib- und 
Lesestation bzw. des Inhabers 13 des Datentragers notwendig, welche als 
Autorisierungsmittel beispielsweise personliche Daten des Inhabers 12 der Schreib- 
und Lesestation (aw) bzw. personliche Daten (ai) des Inhabers 13 des Datentragers 

15 sein konnen wie PIN-Codes, biometrische Daten usw. Analoges gilt auch fur die 
Ausiibung von Applikationen an der Schreib- und Lesestation durch den 
Datentrager. Je nach Art der Autorisierung und von deren Nutzung kann somit ° 

eine Nutzerautorisierung aw zur Initialisierung durch die Schreib- und Lesestation 
20 bzw. deren Inhaber 12 erfolgen 

oder es kann eine Nutzerautorisierung ai zur Initialisierung durch den Inhaber 13 des 
Datentragers erfolgen 

25 oder es kann auch eine Autorisierung zur Initialisierung durch ein zusatzliches 
Identifikations-Autorisierungsmittel ID-AM erfolgen. 
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Ein Ausffihrungsbeispiel sei z.B. das Aufladen von Geldkarten an einer Schreib- und 
Lesestation als Karten-LesegeraL Hier kann vom Inhaber einer Geldkarte als 
Datentrager mil seiner Berechtigung, d.h. Nutzerautorisierung ai (z.B. Kreditkarten- 
nummer und PIN-Code) fiber einen PC und das Internet auch Geld aufgeladen 
5 werden. 



Mit dem erfindungsgemassen Verfahren konnen auch mehrstufige Initialisierungen 
fiber Netzwerke ausgefiihrt werden, z.B. in mehreren dem Autorisierungssystem A 
entsprechend hierarchisch abgestuften Schritten. Dies illustriert ein Beispiel 
dezentraler Herstellung und Distribution von Chip-Karten als Datentrager mit Bezug 

10 auf Fig. 11. Der Inhaber des Autorisierungs-Systems A sei ein Hersteller HAO mit 
Hauptsitz und Zentrale in Europa, wo leere Karten bzw. Datentrager IM produziert 
werden, welche beispielsweise die Systemgrundorganisation mit dem Datenfeld CDF 
enthalten. Diese leeren Karten werden fiber ein Netzwerk an Tochterfirmen HA0.1 
als Landervertretungen, z.B. in den USA, geschickt, wo eine weitere 

15 Grundinitialisierung der Karten auch von der Herstellerzentrale HAO aus als oberster 
Instanz ausgeffihrt werden kann. Die Tochterfirma HA0.1 vertreibt diese Karten mit 
unabhangigen Applikationen an unabhangige Anwender, welche die 
Autorisierungsinstanzen HA1, HA2, HA3 darstellen und deren Karten durch einen 
Anwendercode unterschieden werden, welcher fiber das Netz bei der Tochterfirma 
20 HA0.1 durch die Zentrale HAO initialisiert werden kann, falls die Tochter HA0.1 
dazu nicht berechtigt ist. HAO und HA0.1 sind auf Stufe OLO. Dies ergibt folgende 
Initialisierungsstufen 



HAO -> HA0.1 -> HA1 
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Auf einer nachsten Hierarchiestufe werden dann diese Karten IM durch die 
Autorisierungsinstanzen HA1, HA2, HA3 (d.h. die unabhangigen Anwender) mit 
ihren gewunschten Appiikationen Appl, App2, App3 iiber weitere Organi- 
sationsstufen wiederum an dezentralen autorisierten Schreib- und Lesestationen A- 
5 WR initialisiert. Durch Initialisierungs- und Autorisierungsregeln und hierarchische 
Abstufungen des Systems A wird -siGher-gesteilt, -dass- -der~ Inhaber BAO -des- 
Autorisierungssystems A die Kontrolle iiber die Systemkompatibilitat der Karten 
behaiten kann und gieichzeitig fiir einen unabhangigen Anwender HA1, HA2 usw., 
dass er die Kontrolle iiber Karten mit seinen Appiikationen im Rahmen seiner 
10 Befugnisse ab dem zugeordneten Organisationslevel (z.B. OL1) behalt. Dies ergibt 
weitere Initialisierungsstufen, z.B. 

HA1 -> HA1.1 -> HA1.11 -> A-WR/IM 

auf Organisationsstufen OL1 bis OLn. 

Die unabhangigen Anwender HA1, HA2, HA3 usw. mit den unabhangigen 
15 Appiikationen sind auch auf dem Organisationslevel OL1. 

Mit den angegebenen Beispielen und Ausfiihrungen soli die universale 
Einsetzbarkeit des erfindungsgemassen neuen Verfahrens vor allem auch fiir 
beriihrungslose Systeme und Identifkationsmedien illustriert werden. 

Im Rahmen dieser Beschreibung werden die folgenden Bezeichnungen verwendet: 
20 N Netzwerk 

No offentliches Netzwerk 
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Np privates Netzwerk 

Gl, G2 ~ Sicherheitspforten fur gesicherte Kommunikation xiber das Netz 

g gesicherte Umgebung 

u ungesicherte Umgebung 

5 IM mobiler Datentrager, Identifikationsmediurn 

IM j _ initialisi erter IM . . 

WR dezentrale Schreib- und Lesestation 

WRk initialisierte WR 

j bezieht sich auf IM 

10 k bezieht sich auf WR 

A-WR dezentrale autorisierte Schreib- und Lesestation 

A Autorisierungssystem 

AS sekundares Unterautorisierungssystem 

AM Autorisierungsmittel 

1 5 AM-IM Autorisierungs-Identif ikationsmedien 

AM-I Autorisierungsdaten 

HA Autorisierungsinstanz, entfernte 

H Hostcomputer 

R-A-WR entfernte Autorisierungs-Schreib- und Lesestation 

20 DI Initialisierungsdaten 

A-I Autorisierungsinformationen 

A-I-FA Autorisierungsdaten fur die Funktion A-WR 

H Initialisierungsinformationen 

H-Cod Applikationsprogramm-Daten 

25 ID- AM Identifikations- Autorisierungsmittel 

ID-I Identif ikations-Informationen 

S-I Status-Informationen 

OLi Autorisierungsstufe, Organisationslevel 

App Appiikationen 
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AppuP 


Applikationsmicroprozessor 


CDF 


. Grunddatenfeld, Grundorganisation von A 


ADF 


Applikationsdatenfeid 


12 


Inhaber von WR 


13 


liillaWl von 1XV1 


aw- 


-N^itzeFa«torisiefifflg-von -W-R- 


ai 


Nutzerautorisierung von IM 


HO 


Systeminhaber 


H0.1 


Tochtergesellschaft von HO 
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PATENT ANSPRUCHE 

Verfahren zur Initialisierung von mobilen Datentragern (IM) mit 
zugeordneten dezentralen Schreib- und Lesestationen (WR) und/oder von 
dezentraien Schreib- und Lesestationen (WR) im Rahmen eines 
Autorisierungssystems (A), dadurch gekennzeichnet, dass 
durch eine Autorisierung mit Autorisierungsmitteln (AM) an einer 
Autorisierungsinstanz (HA) in einer gesicherten Umgebung (g) 
Initialisierungsdaten (DI, A-I. I-I) erzeugt und fiber ein Netzwerk (N) in einer 
gesicherten Kommunikation und mit dem Autorisierungssystem 
entsprechenden Sicherheitsregeln an eine dezentrale autorisierte Schreib- und 
Lesestation (A-WR) gesendet werden 

und wobei die mobilen Datentrager (IM) an der Schreib- und Lesestation (A- 
WR) mit den Initialisierungsdaten (DI) entsprechend initialisiert werden 
(IMj) 

und/oder dass die Initialisierungsdaten (DI) fiber das Netzwerk (N) an eine 
dezentrale Schreib- und Lesestation (WR) gesendet werden, womit die 
Schreib- und Lesestation initialisiert wird (WRk). 

Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die 
Autorisierungsinstanz (HA) durch einen Hostcomputer (H) oder durch eine 
entfernte Autorisierungs-Schreib- und Lesestation (R-A-WR) gebildet wird. 

Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die 
Autorisierungsmittel (AM) durch spezielle Autorisierungs- Identifikations- 
medien (AM-IM) oder durch Autorisierungsdaten (AM-I) gebildet werden. 
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4. Verfahren nach einem der vorangehenden Anspriiche, dadurch 
gekennzeichnet, dass eine (nicht autorisierte) dezentrate Schreib- und 
Lesestation (WR) durch in den Initialisierungsdaten (DI) enthaltene 
Funktions-Autorisierungsdaten (A-I-FA) zuerst in eine autorisierte Schreib- 

5 und Lesestation (A-WR) ubergefiihrt wird, welche anschliessend mobile 

DatentFager-(IM) enl^rechend de 

5. Verfahren nach einem der vorangehenden Anspriiche, dadurch 
gekennzeichnet, dass im Rahmen des Autorisierungssystems (A) mehrere 

10 Autorisierungsinstanzen (HAi) mit gleichen und/oder unterschiedlichen 

Autorisierungsstufen (OLi) vorgesehen sind. 

6. Verfahren nach einem der vorangehenden Anspriiche, dadurch 
gekennzeichnet, dass mehrere Autorisierungsmittel (AMi) mit gleichen 

15 und/oder unterschiedlichen Autorisierungsstufen (OLi) vorgesehen sind. 

7. Verfahren nach einem der vorangehenden Anspriiche, dadurch 
gekennzeichnet, dass Initialisierungsdaten (DI, A-I, I-I) iiber mehr als eine 
Netzstufe (Nl, N2) und/oder iiber mehr als eine Autorisierungsinstanz (HAI, 

20 HA2) an die autorisierten Schreib- und Lesestationen (A-WR) bzw. die 

dezentralen Schreib- und Lesestationen (WR) ubermittelt werden. 

8. Verfahren nach einem der vorangehenden Anspriiche, dadurch 
gekennzeichnet, dass die Inititalisierungsdaten (DI) iiber ein gesichertes 

25 privates Netzwerk (Np) ubermittelt werden. 

9. Verfahren nach einem der vorangehenden Anspriiche, dadurch 
gekennzeichnet, dass die Initialisierungsdaten iiber ein offenes Netzwerk 
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(No) mit einer Verschliisselung und beidseitigen Sicherheitspforten (Gl, G2) 
iibermittelt werden. 

10. Verfahren nach einem der vorangehenden Anspriiche, dadurch 
5 gekennzeichnet, dass mit den Initialisierungsdaten (DI2.2) Applikations- 

erweiterungen.(App2.2) initialisiert werden. 

11. Verfahren nach einem der vorangehenden Anspriiche, dadurch 
gekennzeichnet, dass mit den Initialisierungsdaten (DI3) neue unabhangige 

10 Applikationen (App3) initialisiert werden. 

12. Verfahren nach einem der vorangehenden Anspriiche, dadurch 
gekennzeichnet, dass in einem, mit einem Systemdatenfeld (CDF) vorberei- 
teten leeren mobilen Datentrager mit den Initialisierungsdaten (DI) 

15 Applikationen (App) neu initialisiert werden. 



13. Verfahren nach einem der vorangehenden Anspriiche, dadurch 
gekennzeichnet, dass ttber das Netzwerk (N) eine dauemde Verbindung 
zwischen Autorisierungsinstanz (HA) und dezentralen Schreib- und 

20 Lesestation (A-WR, WR) besteht. 

14. • Verfahren nach einem der vorangehenden Anspriiche, dadurch 

gekennzeichnet, dass die Verbindung zwischen Autorisierungsinstanz (HA), 
und dezentralen Schreib- und Lesestationen (A-WR, WR) iiber das Netzwerk 
25 (N) nur zeitweise besteht und dabei ein Datenaustausch stattfindet. 



15. 



Verfahren nach einem der vorangehenden Anspriiche, dadurch 
gekennzeichnet, dass fur die Initialisierung eine Nutzer-Autorisierung (aw) 
durch die Schreib- und Lesestation (A-WR, WR) bzw. deren Inhaber (12) 
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16. 



erfolgt und/oder ein Identifikations-Autorisierungsmittel (ID-AM) notwendig 
ist. 

Verfahren nach einem der vorangehenden Anspriiche, dadurch 
5 gekennzeichnet, dass fur eine Initialisierung eine Nutzer-Autorisierung (ai) 
d urch den Datentra ger bzw. den Inhaber ( 13) des Datentragp.rs f»rfolgt 

17. Verfahren nach einem der vorangehenden Anspriiche, dadurch 
gekennzeichnet, dass zur Autorisierung von Initialisierungen uber das 

10 Netzwerk (N), wie auch zur Ausiibung von Applikationen an der Schreib- 

und Lesestation (A-WR, WR) bzw. am Datentrager (IM) personliche Daten 
(aw) des Inhabers der Schreib- und Lesestation bzw. personliche Daten (ai) 
des Inhabers des Datentragers, wie PIN-Code oder biometrische Daten, als 
Autorisierungsmittei eingesetzt werden. 

15 

18. Verfahren nach einem der vorangehenden Anspriiche, dadurch 
gekennzeichnet, dass die mobilen Datentrager (IM) einen Applikations- 
Mikroprozessor (AppuP) zur Verarbeitung von Applikations-Programmdaten 
(I-I-Cod) enthalten. 

20 

19. Verfahren nach einem der vorangehenden Anspriiche, dadurch 
gekennzeichnet, dass die Datentrage (IM) als beriihrungslose, aktive oder 
passive Identifikationsmedien ausgebildet sind. 

25 20. Verfahren nach einem der vorangehenden Anspriiche, dadurch 
gekennzeichnet, dass die mobilen Datentrager (IM), die Autorisierungs- 
Identifikationsmedien (AM-IM) und die Identifikations- 
Autorisierungsmedien (ID-AM) aus den gleichen mobilen Datentragern 
gebildet werden. 
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Verfahren nach einem der yorangehenden Anspriiche, dadurch 
gekennzeichnet, dass Statusinformationen (S-I) fiber Ereignisse an den 
autorisierten bzw. an den dezentralen Schreib- und Lesestationen (A-WR, 
WR) und/oder an den mobilen Datentragern (IM) fiber das Netzwerk (N) an 
.eine_entsprechende. Autorisierungsinstanz- (HA)- gemeldet- werde'n. 

Verfahren nach Anspruch 21, dadurch gekennzeichnet, dass die 
Statusinformationen (S-I) fur Nutzungs- oder Lizenzverrechnungen 
verwendet werden. 

Verfahren nach einem der vorangehenden Anspriiche, dadurch 
gekennzeichnet, dass jede neue Initialisierung eines Datentragers (IM) fur 
eine Nutzungs- oder Lizenzverrechnung fiber das Netzwerk (N) an die 
Autorisierungsinstanz (HA gemeldet wird. 

Verfahren nach einem der vorangehenden Anspriiche, dadurch 
gekennzeichnet, dass jede Nutzung einer Applikation an einer Schreib- und 
Lesestation (WR) ffir eine Nutzungs- oder Lizenzverrechung fiber das 
Netzwerk (N) an die Autorisierungsinstanz (HA) gemeldet wird. 

Verfahren nach einem der vorangehenden Anspriiche, dadurch 
gekennzeichnet, dass eine mehrstufige Initialisierung der Datentrager (IM) 
fiber Netzwerke (N) vorgesehen ist, welche im Rahmen des Autorisierungs- 
systems (A) in hierarchisch abgestuften Schritten erfolgt. 

Mobiler Datentrager (IMj) mit einer nach dem Verfahren von Anspruch 1 
durch Autorisierung fiber ein Netzwerk (N) initialisierten Applikation (App). 
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27. Schreib- und Lesestation (WRk) mit einer nach dem Verfahren von Anspruch 
1 durch Autorisierung uber ein Netzwerk (N) initialisierten Applikation (k). 

28. Anlage zur Initialisierung von mobilen "Datentragern (IM) mit zugeordneten 
5 dezentralen Schreib- und Lesestationen (WR) und/oder von dezentralen 

- Scteeib-nmd-I^sestetiore 
(A), dadurch gekennzeichnet, dass 

durch Autorisierungsmittel (AM) an einer Autorisierungsinstanz (HA) in 
einer. gesicherten Umgebung (g) Initialisierungsdaten (DI, A-I, I-I) erzeugt 

10 und uber ein Netzwerk (N) in einer gesicherten Kommunikation und mit dem 

Autorisierungssystem entsprechenden Sicherheitsregeln an eine dezentrale 
autorisierte Schreib- und Lesestation (A-WR) gesendet werden 
und dass die mobilen Datentrager (IM) an der Schreib- und Lesestation (A- 
WR) mit den Initialisierungsdaten (DI) entsprechend initialisiert werden 

15 (IMj) 

und/oder dass die Initialisierungsdaten (DI) uber das Netzwerk (N) an eine 
dezentrale Schreib- und Lesestation (WR) gesendet werden, womit die 
Schreib- und Lesestation (WR) initialisiert wird (WRk). 
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Aktenzeichen des Anmelders Oder Anwalts 
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WEITERES siehe Mitteilung uber die Ubermittlung des internationalen 

Recherchenberichts (Formblatt PCT/ISA/220) sowie, soweit 
VORGEHEN zutreffend, nachstehender Punkt 5 


Internationales Aktenzeichen 

PCT/CH 01/00433 


Internationales Anmeldedatum 
(Tag/Mona t/Jahr) 

10/07/2001 


(Fruhestes) Prioritatsdatum (Tag/Monat/Jahr) 

11/07/2000 


Anmelder 

KABA SCHLIESSSYSTEME AG 



Dieser internationale Ftecherchenbericht wurde von der Internationalen Recherchenbehorde erstellt und wird dem Anmelder gemaG 
Artikel 18 ubermittelt. Eine Kopie wird dem Internationalen Buro ubermittelt. 

Dieser internationale Recherchenbericht umfaBt insgesamt _3 Blatter. 

PX~] Daruber hinaus liegt ihm jeweils eine Kopie der in diesem Bericht genannten Unterlagen zum Stand der Technik bei. 



1 . Grundlage des Berichts 

a. Hinsichtlich der Sprache ist die internationale Recherche auf der Grundlage der internationalen Anmeldung in der Sprache 
durchgefiihrt worden, in der sie eingereicht wurde, sofern unter diesem Punkt nichts anderes angegeben ist. 

| | Die internationale Recherche ist auf der Grundlage einer bei der Behorde eingereichten Ubersetzung der internationalen 
Anmeldung (Regel 23.1 b)) durchgefiihrt worden. 

b. Hinsichtlich der in der internationalen Anmeldung offenbarten Nucleotid- und/oder Aminosauresequenz ist die internationale 
Recherche auf der Grundlage des Sequenzprotokolls durchgefiihrt worden, das 
| | in der internationalen Anmeldung in Schriflicher Form enthalten ist. 

zusammen mit der internationalen Anmeldung in computerlesbarer Form eingereicht worden ist. 

bei der Behorde nachtraglich in schriftlicher Form eingereicht worden ist. 

bei der Behorde nachtraglich in computerlesbarer Form eingereicht worden ist. 



2. 
3. 



□ 
□ 
□ 
□ 

□ 

□ 
□ 



Die Erklarung, daB das nachtraglich eingereichte schriftliche Sequenzprotokoll nicht uber den Offenbarungsgehalt der 
internationalen Anmeldung im Anmeldezeitpunkt hinausgeht, wurde vorgelegt. 

Die Erklarung, dafi die in computerlesbarer Form erfaBten informationen dem schriftlichen Sequenzprotokoll entsprechen, 
wurde vorgelegt. 

Bestimmte Anspruche haben sich als nicht recherchierbar erwiesen (siehe Feld I). 
Mangetnde Einheitlichkeit der Erfindung (siehe Feld II). 



4. Hinsichtlich der Bezeichnung der Erfindung 

[X] wird der vom Anmelder eingereichte Wortlaut genehmigt. 
| | wurde der Wortlaut von der Behorde wie folgt festgesetzt: 



5. Hinsichtlich der Zusammenfassung 

nri wird der vom Anmelder eingereichte Wortlaut genehmigt. 

wurde der Wortlaut nach Regel 38.2b) in der in Feld III angegebenen Fassung von der Behorde festgesetzt. Der 
| [ Anmelder kann der Behorde innerhalb eines Monats nach dem Datum der Absendung dieses internationalen 

Recherchenberichts eine Stellungnahme vorlegen. 

6. Folgende Abbildung der Zeichnungen ist mit der Zusammenfassung zu veroffentlichen: Abb. Nr. 3 



[X] wie vom Anmelder vorgeschlagen Q keine der Abb. 

rj weil der Anmelder selbst keine Abbildung vorgeschlagen hat. 
LI weil diese Abbildung die Erfindung besser kennzeichnet. 
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Weitere Veroffentlichungen sind der Fortsetzung von Feld C zu 
entnehmen 



Siehe Anhang Patentfamilie 



° Besondere Kategorien von angegebenen Veroffentlichungen 

•A' Veroffentlichung, die den allgemeinen Stand der Technik definiert, 
aber nicht als besonders bedeutsam anzusehen ist 

■E' alteres Dokument, das jedoch erst am Oder nach dem internationalen 
Anmeldedatum veroffentlicht worden ist 

■L" Veroffentlichung, die geeignet ist, einen Prioritatsanspruch zweifelhaft er- 
scheinen zu lassen, oder durch die das Veroffentlichungsdatum einer 
anderen im Recherchenbericht genannten Veroffentlichung belegt werden 
soli oder die aus einem anderen besonderen Grund angegeben ist (wie 
ausgefuhrt) 

'O" Veroffentlichung, die sich auf eine miindliche Offenbarung, 

eine Benutzung, eine Ausstellung oder andere MaBnahmen bezieht 
•P' Veroffentlichung, die vor dem internationalen Anmeldedatum, aber nach 



■T* Spatere Veroffentlichung, die nach dem internationalen Anmeldedatum 
oder dem Prioritatsdatum veroffentlicht worden ist und mit der 
Anmeldung nicht kollidiert, sondern nur zum Verstandnis des der 
Erfindung zugrundeliegenden Prinzips oder der ihr zugrundeliegenden 
Theorie angegeben ist 

'X' Veroffentlichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann allein aufgrund dieser Veroffentlichung nicht als neu oder auf 
erfinderischer Tatigkeit beruhend betrachtet werden 

*Y' Veroffentlichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann nicht als auf erfinderischer Tatigkeit beruhend betrachtet 
werden, wenn die Veroffentlichung mit einer Oder mehreren anderen 
Veroffentlichungen dieser Kategorie in Verbindung gebracht wird und 
diese Verbindung fur einen Fachmann naheliegend ist 
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